‘Klantje-pik’ met hulp van mobiele gegevens, mag dat?

Verschillende grootwinkelbedrijven gebruiken telefoongegevens om te zien wie bij hun concurrenten over de vloer komt. Dat meldde het FD onlangs. De achterliggende techniek staat bekend als ‘geo-conquesting’ en komt erop neer dat je op basis van iemands locatie – specifiek, hij is bij de concurrent – een advertentie toont die bedoeld is om hem weg te lokken bij de concurrent. Dit matchen gebeurt op basis van IMEI- en dergelijke nummers uit de telefoon, of profielen van dienstverleners zoals Facebook of Google. En het zou niet in strijd zijn met de AVG. Wishful thinking, als je het mij vraagt.

Commercieel is het een best slimme truc, om mensen een aanbieding te doen om naar jou te komen terwijl ze net bij de concurrent dat wilden kopen. Het voorbeeld uit de FD is koffieketen Dunkin’ Donuts dat kortingscoupons voor koffie stuurt als je bij de Starbucks in de buurt bent. Google weet dat je daar bent, en kan dan die advertentie op dat moment vertonen. Veel relevanter en daardoor effectiever dan wanneer je in de trein zit of ’s avonds na het diner nog even wat nazoekt.

Twee dingen vallen daarbij op. Allereerst wordt gezegd dat dit niet in strijd is met de AVG, omdat er geen naam of adres nodig is, “ze hebben genoeg aan anonieme gebruikerscodes – user id’s – van telefoons”. Maar dat is geen argument. Onder de AVG is ieder gegeven een persoonsgegeven zodra het gekoppeld is aan een identificator, en dat begrip is veel breder dan iemands naam of adres. Een online identificator zoals een cookie of een uit de telefoon uitgelezen IMEI is gewoon een persoonsgegeven.

Opvallender vind ik deze passage:

Klanten geven er, al zullen ze het niet doorhebben, zelf toestemming voor dat adverteerders die data verzamelen. Wie commerciële app’s gebruikt, geeft toestemming om gebruiksinformatie te delen of te verkopen.

Dit is vanuit AVG-perspectief de grootst mogelijke onzin. Toestemming onder de AVG moet immers een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting zijn. Je kunt dus niet op voorhand voor van alles en nog wat toestemming vragen in algemene zin. Wie dus een spelletje installeert, en op basis daarvan wordt geprofileerd als een koffiedrinker zodat hij bij de Starbucks een bon voor de concurrent gaat krijgen, heeft daar geen toestemming voor gegeven. Ook al staat het honderd keer in de privacyverklaring en weet iedereen dat appbouwers ook geld moeten verdienen.

Wat wél kan, is dat deze advertenties op basis van de grondslag “eigen gerechtvaardigd belang” worden verstuurd. Dan is er geen toestemming nodig. Wel moet je informeren dat je dit doet en waarom jouw belang opweegt tegen de privacy van mensen. Ook moet er een opt-out mogelijkheid zijn (recht van bezwaar).

Het argument wordt dan, waarom weegt jouw commercieel belang op tegen de privacy. Direct marketing kunnen doen is een legitiem belang onder de AVG, het gaat er dus om hoe ver je mag gaan met welke reclame je stuurt en wanneer. Dat gaat hier best ver, het voelt nogal indringend dat je weet waar ik ben en daar een gericht aanbod op doet. En dat maakt dat het privacybelang erg zwaar zal wegen. Ik denk dus niet dat je het onder deze grondslag rond krijgt.

Arnoud